CN103118017A - 维护IKE SA的本端发送消息的MessageID的方法及装置 - Google Patents
维护IKE SA的本端发送消息的MessageID的方法及装置 Download PDFInfo
- Publication number
- CN103118017A CN103118017A CN2013100243831A CN201310024383A CN103118017A CN 103118017 A CN103118017 A CN 103118017A CN 2013100243831 A CN2013100243831 A CN 2013100243831A CN 201310024383 A CN201310024383 A CN 201310024383A CN 103118017 A CN103118017 A CN 103118017A
- Authority
- CN
- China
- Prior art keywords
- messageid
- message
- ike
- probe requests
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开维护IKE SA的本端发送消息的MessageID的方法,所述IKE对话的本端设备包括作为主设备的第一设备和作为备设备的第二设备;该方法包括:第二设备接收并备份第一设备按预设步长发送的发送消息的MessageID;第二设备在切换为主设备后,基于探测范围内的MessageID,生成探测请求并发送给对端,所述探测范围内的MessageID,是以本地最新备份的MessageID为基础,在所述步长之内的MessageID;在对端返回针对所述探测请求的探测响应时,第二设备根据所述探测请求的MessageID,在本地维护发送消息的MessageID。本申请还公开维护IKE SA的本端发送消息的MessageID的装置。本申请在保证主备切换后IKE SA保护的通道正常工作的同时,可减轻主备设备之间因频繁备份MessageID而产生的负担。
Description
技术领域
本申请涉及IP安全技术领域,尤其涉及维护IKE SA的本端发送消息的MessageID的方法及装置。
背景技术
IPsec(IP Security,IP安全)是Internet工程任务组IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证,是一种传统的实现三层VPN(Virtual Private Network,虚拟专用网络)的安全技术。特定的通信方之间通过建立IPsec隧道来传输用户的私有数据。
IPsec提供了两种安全机制:认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改,加密机制通过对数据进行加密运算来保证数据的机密性,以防数据在传输过程中被窃听。
如图1所示,IPsec在两个端点之间提供安全通信,端点被称为IPsec对等体。SA(Security Association,安全联盟)是通信对等体间对某些要素的约定,例如:使用哪种协议(认证头协议AH、或封装安全载荷ESP、或AH与ESP结合使用)、协议的封装模式(传输模式或隧道模式)、加密算法、特定流中保护数据的共享密钥以及密钥的生存周期等。IPsec可通过IKE(Internet Key Exchange,Internet密钥交换协议)协商建立SA。其中IKE是一种用于协商密钥的协议,可以为IPsec隧道协商安全协议、算法、密钥等参数。
IKE有两个协议,IKEv1(Internet Key Exchange Version1,IKE的第一版)和IKEv2(Internet Key Exchange Version2,IKE的第二版),IKEv2协商IKE SA和IPsec SA,包括两个交换:IKE_SA_INIT和IKE_AUTH。其中,IKE_SA_INIT交换完成加密算法、Nonce、DH值等信息的协商,IKE_AUTH交换完成身份认证、证书的协商,两次交换完成后,协商出一个IKE SA和一对IPsec SA(入方向IPsec SA和出方向IPsec SA)。在所述协商过程中,每个消息都包含一个IKE头,在IKE头部格式中包含有消息ID字段MessageID,用于控制重传以及防重放攻击,MessageID必须保持单调递增(每次递增1),响应方会维持一个MessageID的窗口,落在这个窗口内,则认为是有效的IKE报文,否则认为是重放报文,通常这个窗口大小为1(可以配置),例如,本端(发送方)当前发送给对端(响应方)的报文携带的MessageID为7,响应方维持的MessageID窗口大小为1,则响应方期待发送方下一次发送的报文携带的MessageID就为8,如果不为8,就认为是重放报文,从而不会对该报文进行响应。每个IKE SA维护两个MessageID,一个用于指定本端发送消息的时候需要使用的MessageID,即发送消息的MessageID,另一个是期待对端发送过来的消息中携带的MessageID,即接收消息的MessageID。
如上所述,每个IKE SA都会维护两个MessageID,以本端发送消息中的MessageID为例,如果这个值无法保持递增,响应方收到消息后做MessageID合法性检查,即查看接收到的Message ID相对于上一次接收到的MessageID是否有递增,如果没有递增,就无法检查通过。在分布式环境下,存在主备两块板卡(或者主备两台设备),IKE SA通常会备份到备设备,所以,主备切换后,原来的备设备升级为主设备,此时的主设备IKE SA中的MessageID初始值为2(即只进行了一个完整的IKE_SA_INIT和IKE_AUTH流程);而主备切换之前,主设备的IKE SA中的MessageID可能是一个很大的值(因为每发送一个报文,MessageID就会递增)。
因此,切换之后的主设备使用IKE SA发送报文的时候,由于此时报文携带的MessageID相对于响应方收到的前一次报文的MessageID没有递增,此时响应方收到报文后进行MessageID合法性检查,就无法检查通过,响应方会认为切换之后的主设备发送的报文是重放的报文,从而不会对该报文进行正常地响应而造成响应失败。
为解决上述问题,目前存在一种解决方案为:分布式环境中存在主设备和备设备的情况下,主设备每发送一个报文,就将该报文的MessageID备份到备设备,这样在备设备升级为主设备的时候,其MessageID和主备切换之前的主设备上的MessageID是一致的,可以保证主备切换后,使用IKE SA保护的报文不会被响应方认为是重放的报文,响应方可以对接收到的报文进行成功响应。
然而,通常IKE SA保护的报文会很多,可以在很短的时间内发送大量的IKE SA保护的报文,这种情况下,如果在主设备每发送一条IKE SA保护的报文时,就将主设备的MessageID备份到备设备,则主设备与备设备之间的MessageID备份操作会过于频繁,这样对主设备和备设备都会造成相当的负担。
发明内容
有鉴于此,本申请提出一种维护IKE SA的本端发送消息的MessageID的方法,在主备切换后保证IKE SA保护的通道正常工作的同时,还可以减轻主设备和备设备之间因频繁备份MessageID而产生的负担。
本申请还提出一种维护IKE SA的本端发送消息的MessageID的装置,在主备切换后保证IKE SA保护的通道正常工作的同时,还可以减轻主设备和备设备之间因频繁备份MessageID而产生的负担。
为达到上述目的,本申请实施例的技术方案是这样实现的:
一种维护IKE SA的本端发送消息的MessageID的方法,所述IKE对话的本端设备包括作为主设备的第一设备和作为备设备的第二设备,所述第一设备自身维护有发送消息的MessageID;所述方法包括:
第二设备接收第一设备按照预设步长发送的发送消息的MessageID,并在本地备份接收到的发送消息的MessageID;
第二设备在切换为主设备后,基于探测范围内的MessageID,生成探测请求并发送给IKE对端设备,其中所述探测范围内的MessageID,是以本地最新备份的MessageID的数值为基础,在所述预设步长之内的MessageID;
在IKE对端设备返回针对所述探测请求的探测响应时,第二设备根据生成所述探测请求所采用的MessageID,在本地维护发送消息的MessageID。
一种维护IKE SA的本端发送消息的MessageID的装置,所述IKE对话的本端设备包括作为主设备的第一设备和作为备设备的本装置,所述第一设备自身维护有发送消息的MessageID;所述装置包括:MessageID备份模块、探测请求处理模块和MessageID定位模块,其中:
MessageID备份模块,用于接收第一设备按照预设步长发送的发送消息的MessageID,并在本地备份接收到的发送消息的MessageID;
探测请求处理模块,用于在本装置切换为主设备后,基于探测范围内的MessageID,生成探测请求并发送给IKE对端设备,其中所述探测范围内的MessageID,是以本地最新备份的MessageID的数值为基础,在所述预设步长之内的MessageID;
MessageID定位模块,用于在IKE对端设备返回针对所述探测请求的探测响应时,根据生成所述探测请求所采用的MessageID,在本地维护发送消息的MessageID。
本申请的有益效果为,通过在主备切换前按照步长备份消息ID(MessageID),主备切换后主动向IKE对端设备发送探测请求,根据探测请求对应的MessageID及IKE对端设备的响应情况,可以确定主备切换后的主设备下一次发送报文需要使用的MessageID,从而在解决主备切换后MessageID的继承问题以保证IKE SA保护的通道正常工作的同时,还可减轻主设备和备设备之间因频繁备份MessageID而带来的负担。
附图说明
图1为现有技术的IPsec与IKE的关系示意图;
图2为本申请实施例的方法流程图;
图3为本申请实施例的DPD报文交互示意图;
图4为本申请实施例的装置结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下通过具体实施例并参见附图,对本申请进行详细说明。
本申请提出一种维护IKE SA的本端发送消息的MessageID的方法,IPsec通过Internet密钥交换协议的第二版IKEv2协商建立SA,所述IKE对话的本端设备包括作为主设备的第一设备和作为备设备的第二设备,所述第一设备自身维护有发送消息的MessageID;第二设备接收第一设备按照预设步长发送的发送消息的MessageID,并在本地备份接收到的发送消息的MessageID;
第二设备在切换为主设备后,基于探测范围内的MessageID,生成探测请求并发送给IKE对端设备,其中所述探测范围内的MessageID,是以本地最新备份的MessageID的数值为基础,在所述预设步长之内的MessageID;
在IKE对端设备返回针对所述探测请求的探测响应时,第二设备根据生成所述探测请求所采用的MessageID,在本地维护发送消息的MessageID。
本申请中,主设备与备设备在位的时候,对于每个IKE SA,按照自定义的步长备份所述IKE SA保护的报文对应的MessageID;主设备与备设备进行切换后,对于每个IKE SA,主动向IKE对端设备发送探测请求,根据探测请求对应的MessageID及IKE对端设备的响应状况,可以确定主备切换后主设备下一次发送报文需要使用的MessageID,即实现了在本地维护发送消息的MessageID,从而在解决主备切换后MessageID的继承问题以保证IKE SA保护的通道正常工作的同时,还可以减轻主设备和备设备之间因频繁备份MessageID而带来的负担。
本申请实施例的方法流程如图2所示,一种维护IKE SA的本端发送消息的MessageID的方法,应用于Internet密钥交换协议的第二版IKEv2中,所述IKE对话的本端设备包括作为主设备的第一设备和作为备设备的第二设备,所述第一设备自身维护有发送消息的MessageID;所述方法包括以下步骤:
步骤201:第二设备接收第一设备按照预设步长发送的发送消息的MessageID,并在本地备份接收到的发送消息的MessageID。
主设备与备设备进行切换前,也就是主备在位时,作为主设备的第一设备按照步长H将其发送的报文对应的MessageID备份到作为备设备的第二设备,即第一设备每向IKE对端设备发送H次报文,就将第H次发送的报文对应的MessageID备份到第二设备,换言之,如果发送消息的MessageID的数值相比于前次备份时增加了步长H,则此时将MessageID发送至第二设备,第二设备接收后更新本地备份的MessageID的数值。步长H可以根据实际需要进行设置。
例如,设置步长H=5,假设第一设备向IKE对端设备发送第N次报文时,将第N次报文对应的MessageID备份到第二设备,则第一设备按照步长=5,下次备份第N+5次发送给IKE对端设备的报文对应的MessageID到第二设备。若恰好在发送第N+5次报文时进行主备切换,可以先备份后切换。
现有备份的方案中,主备切换前,主设备向IKE对端设备发送的每个报文对应的MessageID都会备份到备设备,开销比较大,主设备与备设备之间的MessageID备份操作过于频繁,会对主设备和备设备都造成相当的负担,比如,可能会给主设备与备设备的CPU造成极大压力。而本申请实施例中按照一定步长进行备份,可以减轻主设备和备设备之间因频繁备份MessageID而产生的负担。
此外,在主备切换后,也需要利用步长以及第二设备本地备份的MessageID来恢复第二设备下一次发送报文需要使用的MessageID,在第二设备本地维护发送消息的MessageID,具体过程见如下步骤。
步骤202:第二设备在切换为主设备后,基于探测范围内的MessageID,生成探测请求并发送给IKE对端设备,其中所述探测范围内的MessageID,是以本地最新备份的MessageID的数值为基础,在所述预设步长之内的MessageID。
第二设备本地最新备份的MessageID,也就是主备切换前第一设备按照步长备份到第二设备的最后一个MessageID,记为MSGIDlast,所述步长记为H,H为大于1的正整数,则MSGIDlast≤所述探测范围内的MessageID≤MSGIDlast+H。
例如,第二设备本地最新备份的MessageID=10,步长H=5,则10≤所述探测范围内的MessageID≤15。
所述第二设备基于探测范围内的MessageID生成探测请求并发送给IKE对端设备时,可以按照探测范围内MessageID递增或递减的顺序生成探测请求,也可以随机选择探测范围内的MessageID生成探测请求。下面以按照探测范围内MessageID递增的顺序生成探测请求作为较佳实施例进行说明。
第二设备以本地最新备份的MessageID作为第一个探测请求的MessageID,发送所述探测请求给IKE对端设备;
每当IKE对端设备不返回探测响应时,更新当前MessageID为MessageID+1,发送采用了更新后的MessageID的探测请求给IKE对端设备。
例如,步长H=5,主备切换前,第一设备备份到第二设备的最后一个MessageID为10,即第一设备第10次发送报文给IKE对端设备时进行了备份,之后第一设备向IKE对端设备发送第12次报文时进行主备切换,第二设备升级为主设备,此时,第二设备使用本地最新备份的MessageID=10发送第一个探测请求给IKE对端设备。而IKE对端设备之前已接收到MessageID=12的报文,因此,期待接收到的下一次MessageID=13,所以,当IKE对端设备接收到MessageID=10的探测请求时,就对MessageID进行合法性检查,发现MessageID没有在12的基础上递增,因此,就认为MessageID=10不合法,无法检查通过,不对探测请求进行响应,使得第二设备在一定响应时间内没有接收到IKE对端设备返回的探测响应,就会将MessageID递增至11,继续发送MessageID=11的探测请求给IKE对端设备,如此反复,直至MessageID递增至13,IKE对端设备才认为接收到的MessageID是合法的,就会返回探测响应。
每当所述第二设备发送探测请求给IKE对端设备之后,可以启动所述探测请求对应的重传定时器,以对探测请求消息进行重传操作。因为当网络链路状态不好时,传输数据的过程中有可能丢包,通过重传操作可以减少丢包率,保证每一次发送的探测请求消息都能被对端设备接收到。重传定时器的溢出时长可以自定义设置;此时,每当IKE对端设备不返回探测响应时,更新当前MessageID为MessageID+1,具体为:
若IKE对端设备在重传定时器超时时间内不返回探测响应,则重传对应的探测请求,进行重传时,探测请求消息对应的MessageID是不变的,即重新发送与上一次完全一样的探测请求消息给对端设备,此时,如上所述,主设备发送探测请求消息给对端设备之后,仍然启动所述探测请求消息对应的重传定时器。
当重传次数超过预先设置的最大次数时,将当前MessageID增加1,即更新当前MessageID为MessageID+1。
重传的最大次数可以根据实际需要设置,例如,网络链路质量不好时,最大次数值可以设置大一些,否则,最大次数值可以设置小一些。
所述探测请求消息为DPD(Dead Peer Detection,死亡对端检测)报文。
之所以采用DPD报文作为探测请求消息,是因为DPD报文为IKE格式,其交互示意图如图3所示,如果响应方(对端设备)接收到有效的DPD探测请求消息,就会回复DPD探测响应消息给发送方(主设备)。当然,也可以采用其它类型的报文作为探测请求消息。
步骤203:在IKE对端设备返回针对所述探测请求的探测响应时,第二设备根据生成所述探测请求所采用的MessageID,在本地维护发送消息的MessageID。
在IKE对端设备返回针对所述探测请求的探测响应时,第二设备将本地下一次发送消息的MessageID设置为生成所述探测请求所采用的MessageID+1。
也就是说,如果第二设备发送给IKE对端设备的探测请求对应的MessageID为MSGIDlast+N(主备切换后作为主设备的第二设备本地最新备份的MessageID记为MSGIDlast),N为不大于步长的正整数时,IKE对端设备返回了探测响应,则第二设备下一次发送消息需要使用的MessageID为MSGIDlast+N+1。
如果IKE对端设备返回了探测响应,表明MessageID=MSGIDlast+N(N≤步长)的探测请求被IKE对端设备认可,MessageID=MSGIDlast+N是合法的,显然,可以确定第二设备下一次发送消息需要使用的MessageID为MSGIDlast+N+1。其中,假设步长为H,主备切换前,若第二设备本地备份的最新MessageID为MSGIDlast,则主备切换后,被IKE对端设备认为合法的MessageID必然位于大于等于MSGIDlast且小于等于MSGIDlast+H的范围内,因此,必须N≤H。
例如,步长H=5,主备切换后,第二设备升级为主设备,第二设备本地备份的最新MessageID为10,当发送给对端设备的探测请求对应的MessageID为MSGIDlast+N=10+3=13时,对端设备返回了探测响应,则第二设备下一次发送消息需要使用的MessageID=14。
本申请实施例的装置结构如图4所示,一种维护IKE SA的本端发送消息的MessageID的装置,应用于Internet密钥交换协议的第二版IKEv2中,所述IKE对话的本端设备包括作为主设备的第一设备和作为备设备的本装置,所述第一设备自身维护有发送消息的MessageID;所述装置包括:MessageID备份模块、探测请求处理模块和MessageID定位模块,其中:
MessageID备份模块,用于接收第一设备按照预设步长发送的发送消息的MessageID,并在本地备份接收到的发送消息的MessageID;
探测请求处理模块,用于在本装置切换为主设备后,基于探测范围内的MessageID,生成探测请求并发送给IKE对端设备,其中所述探测范围内的MessageID,是以本地最新备份的MessageID的数值为基础,在所述预设步长之内的MessageID;
MessageID定位模块,用于在IKE对端设备返回针对所述探测请求的探测响应时,根据生成所述探测请求所采用的MessageID,在本地维护发送消息的MessageID。
较佳地,所述探测请求处理模块包括:探测请求发送模块和MessageID更新模块,其中:
探测请求发送模块,用于以本地最新备份的MessageID作为第一个探测请求的MessageID,发送所述探测请求给IKE对端设备;在MessageID更新模块更新MessageID后发送采用了更新后的MessageID的探测请求给IKE对端设备;
MessageID更新模块,用于每当IKE对端设备不返回探测响应时,更新当前MessageID为MessageID+1。
较佳地,所述探测请求处理模块进一步包括:
探测请求重传模块,用于每当探测请求发送模块发送探测请求给IKE对端设备之后,启动所述探测请求对应的重传定时器;若IKE对端设备在重传定时器超时时间内不返回探测响应,则重传对应的探测请求;
所述MessageID更新模块,还用于当重传次数超过预先设置的最大次数时,更新当前MessageID为MessageID+1。
较佳地,所述MessageID定位模块具体用于:
在IKE对端设备返回针对所述探测请求的探测响应时,将本地下一次发送消息的MessageID设置为生成所述探测请求所采用的MessageID+1。
较佳地,所述探测请求为死亡对端检测DPD报文。
采用本申请实施例方案,可以避免主设备和备设备之间频繁的MessageID备份,减轻主设备与备设备的负担,同时,不影响主备切换后IKE SA保护的通道的正常工作。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种维护IKE SA的本端发送消息的MessageID的方法,所述IKE对话的本端设备包括作为主设备的第一设备和作为备设备的第二设备,所述第一设备自身维护有发送消息的MessageID;其特征在于,所述方法包括:
第二设备接收第一设备按照预设步长发送的发送消息的MessageID,并在本地备份接收到的发送消息的MessageID;
第二设备在切换为主设备后,基于探测范围内的MessageID,生成探测请求并发送给IKE对端设备,其中所述探测范围内的MessageID,是以本地最新备份的MessageID的数值为基础,在所述预设步长之内的MessageID;
在IKE对端设备返回针对所述探测请求的探测响应时,第二设备根据生成所述探测请求所采用的MessageID,在本地维护发送消息的MessageID。
2.根据权利要求1所述的方法,其特征在于,所述第二设备基于探测范围内的MessageID生成探测请求并发送给IKE对端设备,包括:
所述第二设备以本地最新备份的MessageID作为第一个探测请求的MessageID,发送所述探测请求给IKE对端设备;
每当IKE对端设备不返回探测响应时,更新当前MessageID为MessageID+1,发送采用了更新后的MessageID的探测请求给IKE对端设备。
3.根据权利要求2所述的方法,其特征在于,每当所述第二设备发送探测请求给IKE对端设备之后,启动所述探测请求对应的重传定时器;
每当IKE对端设备不返回探测响应时,更新当前MessageID为MessageID+1,包括:
若IKE对端设备在重传定时器超时时间内不返回探测响应,则重传对应的探测请求;当重传次数超过预先设置的最大次数时,更新当前MessageID为MessageID+1。
4.根据权利要求1所述的方法,其特征在于,所述第二设备根据生成所述探测请求所采用的MessageID,在本地维护发送消息的MessageID,包括:
将本地下一次发送消息的MessageID设置为生成所述探测请求所采用的MessageID+1。
5.根据权利要求1所述的方法,其特征在于,所述探测请求消息为死亡对端检测DPD报文。
6.一种维护IKE SA的本端发送消息的MessageID的装置,所述IKE对话的本端设备包括作为主设备的第一设备和作为备设备的本装置,所述第一设备自身维护有发送消息的MessageID;其特征在于,所述装置包括:MessageID备份模块、探测请求处理模块和MessageID定位模块,其中:
MessageID备份模块,用于接收第一设备按照预设步长发送的发送消息的MessageID,并在本地备份接收到的发送消息的MessageID;
探测请求处理模块,用于在本装置切换为主设备后,基于探测范围内的MessageID,生成探测请求并发送给IKE对端设备,其中所述探测范围内的MessageID,是以本地最新备份的MessageID的数值为基础,在所述预设步长之内的MessageID;
MessageID定位模块,用于在IKE对端设备返回针对所述探测请求的探测响应时,根据生成所述探测请求所采用的MessageID,在本地维护发送消息的MessageID。
7.根据权利要求6所述的装置,其特征在于,所述探测请求处理模块包括:探测请求发送模块和MessageID更新模块,其中:
探测请求发送模块,用于以本地最新备份的MessageID作为第一个探测请求的MessageID,发送所述探测请求给IKE对端设备;在MessageID更新模块更新MessageID后发送采用了更新后的MessageID的探测请求给IKE对端设备;
MessageID更新模块,用于每当IKE对端设备不返回探测响应时,更新当前MessageID为MessageID+1。
8.根据权利要求7所述的装置,其特征在于,所述探测请求处理模块进一步包括:
探测请求重传模块,用于每当探测请求发送模块发送探测请求给IKE对端设备之后,启动所述探测请求对应的重传定时器;若IKE对端设备在重传定时器超时时间内不返回探测响应,则重传对应的探测请求;
所述MessageID更新模块,还用于当重传次数超过预先设置的最大次数时,更新当前MessageID为MessageID+1。
9.根据权利要求6所述的装置,其特征在于,所述MessageID定位模块具体用于:
在IKE对端设备返回针对所述探测请求的探测响应时,将本地下一次发送消息的MessageID设置为生成所述探测请求所采用的MessageID+1。
10.根据权利要求6所述的装置,其特征在于,所述探测请求为死亡对端检测DPD报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310024383.1A CN103118017B (zh) | 2013-01-21 | 2013-01-21 | 维护IKE SA的本端发送消息的MessageID的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310024383.1A CN103118017B (zh) | 2013-01-21 | 2013-01-21 | 维护IKE SA的本端发送消息的MessageID的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103118017A true CN103118017A (zh) | 2013-05-22 |
CN103118017B CN103118017B (zh) | 2016-02-03 |
Family
ID=48416291
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310024383.1A Active CN103118017B (zh) | 2013-01-21 | 2013-01-21 | 维护IKE SA的本端发送消息的MessageID的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103118017B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016145964A1 (zh) * | 2015-03-19 | 2016-09-22 | 中兴通讯股份有限公司 | 一种实现丢包请求重传的方法、接收装置和发送装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080155677A1 (en) * | 2006-12-22 | 2008-06-26 | Mahmood Hossain | Apparatus and method for resilient ip security/internet key exchange security gateway |
CN101521602A (zh) * | 2008-02-29 | 2009-09-02 | 上海博达数据通信有限公司 | 利用IKE监测IPSec VPN中通信节点状态的实现方法 |
CN101527729A (zh) * | 2009-05-05 | 2009-09-09 | 杭州华三通信技术有限公司 | 一种ike可靠报文协商的方法、设备及系统 |
CN101577725A (zh) * | 2009-06-26 | 2009-11-11 | 杭州华三通信技术有限公司 | 一种防重放机制中的信息同步方法、装置和系统 |
JP2010023617A (ja) * | 2008-07-17 | 2010-02-04 | Nec Corp | 降車通知システム、降車通知装置、降車通知方法及びプログラム |
CN101714916A (zh) * | 2009-11-26 | 2010-05-26 | 成都市华为赛门铁克科技有限公司 | 一种备份方法、设备和系统 |
CN101917294A (zh) * | 2010-08-24 | 2010-12-15 | 杭州华三通信技术有限公司 | 主备切换时更新防重放参数的方法和设备 |
-
2013
- 2013-01-21 CN CN201310024383.1A patent/CN103118017B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080155677A1 (en) * | 2006-12-22 | 2008-06-26 | Mahmood Hossain | Apparatus and method for resilient ip security/internet key exchange security gateway |
CN101521602A (zh) * | 2008-02-29 | 2009-09-02 | 上海博达数据通信有限公司 | 利用IKE监测IPSec VPN中通信节点状态的实现方法 |
JP2010023617A (ja) * | 2008-07-17 | 2010-02-04 | Nec Corp | 降車通知システム、降車通知装置、降車通知方法及びプログラム |
CN101527729A (zh) * | 2009-05-05 | 2009-09-09 | 杭州华三通信技术有限公司 | 一种ike可靠报文协商的方法、设备及系统 |
CN101577725A (zh) * | 2009-06-26 | 2009-11-11 | 杭州华三通信技术有限公司 | 一种防重放机制中的信息同步方法、装置和系统 |
CN101714916A (zh) * | 2009-11-26 | 2010-05-26 | 成都市华为赛门铁克科技有限公司 | 一种备份方法、设备和系统 |
CN101917294A (zh) * | 2010-08-24 | 2010-12-15 | 杭州华三通信技术有限公司 | 主备切换时更新防重放参数的方法和设备 |
Non-Patent Citations (1)
Title |
---|
吴晓辉: "IPsec VPN双机热备系统设计与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016145964A1 (zh) * | 2015-03-19 | 2016-09-22 | 中兴通讯股份有限公司 | 一种实现丢包请求重传的方法、接收装置和发送装置 |
CN106034014A (zh) * | 2015-03-19 | 2016-10-19 | 中兴通讯股份有限公司 | 一种实现丢包请求重传的方法、接收装置和发送装置 |
Also Published As
Publication number | Publication date |
---|---|
CN103118017B (zh) | 2016-02-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10284540B2 (en) | Secure method for MTC device triggering | |
US8285990B2 (en) | Method and system for authentication confirmation using extensible authentication protocol | |
EP3369240B1 (en) | Protocol fallback during call signaling | |
US8639929B2 (en) | Method, device and system for authenticating gateway, node and server | |
KR102123210B1 (ko) | Ue 및 네트워크 양자에서의 키 도출을 위한 mtc 키 관리 | |
EP3369234A1 (en) | Establishing a communication event using secure signalling | |
JP5877623B2 (ja) | 送信端末、受信端末および情報配信システム | |
DE202012003716U1 (de) | Vorrichtung für ein skalierbares und sicheres Transportprotokoll zur Sensordatenerfassung | |
CN101527729A (zh) | 一种ike可靠报文协商的方法、设备及系统 | |
US9225516B1 (en) | Combined authentication and encryption | |
JP2003204349A (ja) | ノード装置及び通信制御方法 | |
Ye et al. | A security protocol for advanced metering infrastructure in smart grid | |
CN106571907A (zh) | 一种上位机与u盘间安全传输数据的方法及系统 | |
KR20090012248A (ko) | 암호 키의 조작방지 생성 방법 및 시스템 | |
CN111049648A (zh) | 一种MACSec加密业务数据平面主动更新密钥保证可靠传输的方法 | |
CN107135228B (zh) | 一种基于中心节点的认证系统与认证方法 | |
CN104104573A (zh) | 用于网络设备的IPsec隧道的控制方法和系统 | |
KR20190040443A (ko) | 스마트미터의 보안 세션 생성 장치 및 방법 | |
CN112350823B (zh) | 车载控制器间can fd通信方法 | |
CN103986716A (zh) | Ssl连接的建立方法以及基于ssl连接的通信方法及装置 | |
CN103118017B (zh) | 维护IKE SA的本端发送消息的MessageID的方法及装置 | |
CN113691394B (zh) | 一种vpn通信的建立和切换的方法和系统 | |
CN113765900B (zh) | 协议交互信息输出传输方法、适配器装置及存储介质 | |
CN116094745A (zh) | 一种工控网络安全防护方法、装置、终端设备及存储介质 | |
CN111245601B (zh) | 一种通讯协商方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |